이번 개정안은 금융회사가 혁신금융서비스 지정 절차를 거치지 않더라도 일정한 보안 요건을 충족할 경우 문서 작성, 화상회의, 인사·성과관리 등 사무관리 및 업무지원 목적의 SaaS를 내부 업무에 활용할 수 있도록 허용하는 것이 핵심이다.
금융위와 금감원은 그간 망분리 규제로 인해 금융권의 SaaS 활용이 제한돼 왔으나 지난 2023년 9월 이후 총 32개 금융회사가 85건의 SaaS 관련 혁신금융서비스를 안정적으로 운영해 온 점을 고려해 제도 개선을 추진했다고 설명했다.
개정안에 따르면 '클라우드컴퓨팅 발전 및 이용자보호에 관한 법률 시행령'상 SaaS는 전자금융거래법상 망분리 규제의 예외로 명시된다. 다만 개인정보 유출 우려를 감안해 고유식별정보나 개인신용정보를 처리하는 SaaS는 예외 적용 대상에서 제외된다.
망분리 예외 허용과 함께 정보보호 통제 장치도 강화된다. 금융회사는 금융보안원 등 침해사고 대응기관의 평가를 거친 SaaS만을 이용해야 하며 △접속 단말기 보안 관리 △안전한 인증 방식 적용 △최소 권한 부여 등의 조치를 의무적으로 이행해야 한다. 관련 이행 여부는 반기 1회 점검해 금융사 정보보호위원회에 보고하도록 했다.
금융당국은 제도 시행 시 금융회사의 사무 처리 효율성 제고와 조직·성과관리 개선, 글로벌 그룹사 및 해외 지사와의 협업 강화, 정보기술(IT) 자원 활용 효율화에 따른 비용 절감 효과가 나타날 것으로 기대하고 있다.
이번 시행세칙 개정안은 다음달 9일까지 사전예고를 거쳐 규제개혁위원회 심사 등을 통해 확정·시행될 예정이다. 금융위와 금감원은 시행 시점에 맞춰 보안 대응 요령을 담은 해설서도 배포할 계획이다.
금융위와 금감원 관계자는 "금융서비스 혁신을 위해 IT 활용 환경 개선이 필요하지만 보안 수준 약화로 이어져서는 안 된다"며 "망분리 규제 완화와 함께 금융권의 자율적이고 체계적인 보안 관리 체계 구축을 지속 유도하겠다"고 말했다.
댓글 더보기